我遇到了一个名为 keylog.me 的可疑网站(您已经可以从名称中看出)。
我很想知道它的作用,所以我上了一个虚拟机(我后来重新安装了 Fedora Linux)并去了它,但虚拟机崩溃了。
因此,我再次使用 NoScript 进行操作,并且在图像中嵌入了一个脚本(不过,我看不到它是什么,因为第一次 VM 崩溃,而这次我有 NoScript)。直到我发现可以通过网页脚本安装键盘记录器(我在VM上使用firefox)。
此外,我发现键盘记录器可能能够逃脱(当然我启用了互联网)VM。所以现在我担心我的数据,认为我现在正在被键盘记录输入这个问题(以及更敏感的数据)。
目前,我的操作系统是 Ubuntu,但我在一个单独的分区上安装了 Windows 10,众所周知,就安全性而言,这与 Linux 系统相比毫无意义,而且我那里也有敏感数据。
如果有一个键盘记录器跟踪我,我该如何摆脱它,网站键盘记录器能否逃脱虚拟机?
TL,DR:别担心,你可能是安全的。
通常恶意软件无法将虚拟机逃逸到主机操作系统上。也有例外,因为某些恶意软件专门设计用于从 VM 侵入主机,但这些恶意软件非常非常少,通常出现在有针对性的攻击中,而不是在公共互联网站点上。
跨操作系统恶意软件感染更为罕见。感染您的 Ubuntu 安装并跳转到 Windows 的恶意软件是合理的,但主要是理论上的。一个逃离 Firefox 沙箱、感染客户操作系统、逃离虚拟机、感染主机、发现其他操作系统安装并感染它的恶意软件?不,我不相信这样的东西会出现在面向公众的网站上。这将是一种强大到没有人承认拥有它的武器,更不用说左右使用它了。
这很棘手。
如果您只是在虚拟机中浏览网站,那么您是相当安全的。
如果它设法诱使您运行单独的可执行文件,那么如果虚拟机没有正确隔离,它就有可能感染您的主机或网络上的其他 PC。(在虚拟机上使用与主机上相同的登录凭据是最大的禁忌;使用桥接网络会增加可能的目标,但其本身通常不是问题。)话虽如此,它必须是一个键盘记录器包括病毒成分;这些可能确实存在,但是您意外遇到的可能性很小。特别是跨不同的操作系统类型。
然而,另一个容易被忽视的漏洞是某些 VM 软件会自动在主机和来宾之间共享您的剪贴板;这意味着如果您在 VM 运行时碰巧复制了密码或其他重要信息,VM 中的键盘记录器可能会窃取它们。(这可能会在您不注意的情况下发生,例如,如果您使用的密码管理器应用程序碰巧使用剪贴板输入密码。)话虽如此,许多 VM 系统默认情况下会禁用此功能(因为这是一个已知漏洞),所以除非您已启用它,否则您可能是安全的。(一个好的密码管理器应用程序不应该首先使用剪贴板。)
可能有很多方法可以摆脱键盘记录器。为此,您必须对其进行检测。
Wireshark 可以帮助检测,但根据 PC 的使用模式,可能很难确定哪些流量是无害的,哪些是恶意的。
如果我怀疑键盘记录器传输数据,我会这样做:
如果可以,请将 Wireshark 放在第二台 PC 上并使用集线器/SPAN 端口来捕获可疑 PC 的数据。如果不能,您可能不得不在实际客户端的 PC 上安装 Wirehark,这有一些缺点,但有时无济于事。启动客户端的 PC 并让 Wireshark 捕获进出其网卡的数据。
尽可能多地关闭使用网络的程序,以确保创建的有效网络流量尽可能少。
打开文本编辑器并开始输入。现在,如果有一个键盘记录器,它应该在某个时候开始发送捕获的数据。您应该将其视为来自 PC 且没有其他理由存在的通信。ip.src==X.X.X.X您可以使用诸如哪里X.X.X.X是 PC 的 IP 地址之类的东西来过滤它。这样你就可以看到所有的东西。如果有您无法解释的内容,您可以双向过滤此通信。例如,通过使用Follow TCP stream过滤器(如果它实际上是一个 TCP 会话)。然后你需要确定发生了什么,如果这实际上是一个键盘记录器。
您可能需要监视 PC 一段时间,因为并非所有键盘记录器都会立即发送数据。如果您在第二台 PC 上安装了 Wireshark,您可以尝试关闭可疑的 PC,并在键盘记录程序终止之前查看是否有传输。
一旦检测到键盘记录器,您就可以将其删除。